Последнее обновление 02.01.2023 — QGames
Университеты США подвергаются многочисленным фишинговым атакам, призванным выдавать себя за порталы входа в колледж с целью кражи ценных учетных данных Office 365.
Приманки, использованные в последних кампаниях, включают варианты COVID-19 Delta и Omicron, а также различные темы о том, как они предположительно влияют на образовательные программы.
Предполагается, что эти кампании проводятся несколькими злоумышленниками, начиная с октября 2021 года, а Proofpoint делится подробностями о тактике, методах и процедурах (TTP), используемых в фишинговых атаках.
Ориентация на университеты США
Фишинговая атака начинается с электронного письма, которое якобы содержит информацию о новом варианте Omicron, результатах тестирования COVID-19, дополнительных требованиях к тестированию или изменениях класса.
Эти электронные письма побуждают получателя щелкнуть прикрепленный файл HTM, что приведет его к клонированной странице входа на портал входа в свой университет.
Другие примеры вредоносных доменов, настроенных для поддержки фишинг-кампании, приведены ниже:
- sso [.] ucmo [.] edu [.] скучно [.] cf / Covid19 / authenticationedpoint.html
- hfbcbiblestudy [.] org / demo1 / includes / jah / [университет] / auth [.] php *
- afr-tours [.] co [.] za / includes / css / js / edu / web / etc / login [.] php *
- traveloaid [.] com / css / js / [университет] / auth [.] php *
Вложения HTM в последнее время пользуются большим успехом в фишинге, поскольку они позволяют злоумышленникам переправлять вредоносное ПО и собирать его на целевом устройстве. Однако в этом случае HTM содержит ссылку на сайт для кражи учетных данных.
В некоторых случаях (отмеченных звездочкой) эти места назначения являются законными сайтами WordPress, которые были скомпрометированы с целью кражи учетных данных, поэтому инструменты интернет-безопасности или защиты электронной почты не будут подавать никаких сигналов тревоги, когда на них попадает жертва.
Судя по URL-адресам, предоставленным Proofpoint, некоторые из университетов, подвергшихся атакам, включают Университет Центрального Миссури, Вандербильт, Государственный университет Арканзаса, Пердью, Оберн, Университет Западной Вирджинии и Университет Висконсин-Ошкош.
Получение парных одноразовых паролей
Чтобы обойти защиту MFA (многофакторная аутентификация) на целевых страницах входа в университет, злоумышленники также создали целевые страницы, которые подделывают страницу DUO MFA, которая используется для кражи одноразовых паролей, отправленных студентам и преподавателям.
После того, как жертва вводит свои учетные данные на поддельной странице входа, жертве предлагается ввести код, который они получили по SMS на свой телефон, чтобы актеры могли выхватить его и использовать напрямую для получения доступа к учетной записи.
Этот шаг требует немедленных действий, поскольку у одноразовых паролей короткий срок действия.
Подразумеваемое
Учетные данные Office 365 могут использоваться злоумышленниками для доступа к соответствующей учетной записи электронной почты, отправки сообщений другим пользователям в рабочей группе, отклонения платежей и дальнейшего фишинга для кражи более ценных учетных записей.
Кроме того, субъект может получать доступ и извлекать конфиденциальную информацию, хранящуюся в папках OneDrive и SharePoint учетной записи.
Эти фишинговые атаки потенциально могут привести к разрушительным инцидентам с BEC и серьезным разрушительным заражениям программ-вымогателей для университетов.
Файлы HTM открываются в браузере, поэтому технически вы никогда не можете быть в безопасности на 100%. Не поддавайтесь любопытству, если вы получили его как вложение в нежелательном письме.
Просто отметьте сообщение как спам и удалите его.